新サーバ移行中にファイアウォール機能が有効化されていなかったことが原因 ~ ソウェルクラブの会員管理システムに不正アクセス
画像(4枚)
 社会福祉法人福利厚生センターは11月25日、9月26日に公表したソウェルクラブの会員管理システムへの不正アクセスについて、第3報を発表した。

 同センターでは9月22日に、ソウェルクラブ会員管理システムに第三者から不正アクセスがあり、情報が流出した可能性が判明しており、被害の全容解明のための調査を行っていた。


 同センターによると、ソウェルクラブの会員管理システムを現在のサーバから新しいサーバに移行する作業を委託先会社が実施している途上の9月22日午前12時過ぎに、ファイアウォール機能が有効化されておらず外部からの接続を制御できない状態で、データベース接続設定に関する不適切な構成が実施されたことが原因で新サーバ内の会員情報データベースが一時的にインターネット上からアクセスができる状況となり、そのタイミングで第三者から不正アクセスを受け、会員情報データベースが消去される被害を受けたという。

 専門業者によるフォレンジック調査の結果、データ流出については明確な痕跡は確認されなかったが、攻撃者によりデータベースへのアクセスが可能な状況であったことを鑑みて、閲覧を含む情報漏えいの可能性は否定できないとしている。

 会員情報データベースには個人データ約136万件が存在しており、漏えいの可能性が否定できない情報は下記の通り。なお、ソウェルクラブは、法人が加入し、その役職員が会員個人としてサービスを利用する仕組みとなっている。

・加入法人の情報(法人名、代表者名、法人住所、電話番号、FAX番号、暗号化済メールアドレス、金融機関、口座番号、口座名義人等)
・事業所の情報(事業所名、事業所住所、電話番号、FAX番号、暗号化済メールアドレス等)
・会員個人の情報(氏名、生年月日、性別、会員番号、サービス利用履歴、自動車任意保険加入者の住所(2001年度から2003年度に実施していたもの)等)

 同センターでは対象の法人に対し、個別に連絡を行っている。

 同センターによると現在、データは完全に復旧されており、通常業務への影響はない。

 同センターでは今後、サーバ移行を含むシステム構築の際は、委託先企業による安全管理措置の徹底を確認の上、委託先企業とのリスクコミュニケーション強化など、適切に監督をするための取組を進めるとのこと。

元の記事を読む

編集部おすすめ